Somnia-Ransomware

Russische Hacker verwenden einen neuen Ransomware-Stamm, der als Somnia verfolgt wird, um die normalen Aktivitäten von Zielen in der Ukraine zu stören. Nach der russischen Invasion des Landes Ukraine haben Infosec-Forscher kontinuierlich über eine drastische Zunahme der Angriffskampagnen gegen die ukrainische Regierung und Unternehmen des Privatsektors berichtet. Details über die Somnia Ransomware und ihre Betreiber wurden der Öffentlichkeit in einem Bericht von CERT-UA (Computer Emergency Response Team of Ukraine) veröffentlicht.

Infektionskette

Ihren Erkenntnissen zufolge gehören die für die Somnia-Angriffe verantwortlichen Cyberkriminellen zu einer vermutlich pro-russischen Hacktivistengruppe namens From Russia with Love (FRwL), die auch als Z-Team und UAC-0118 verfolgt wird. Die Bedrohungsakteure nutzten das Ransomware-Tool, um den Betrieb automatisierter Systeme sowie elektronischer Rechenmaschinen des angegriffenen Ziels zu beeinträchtigen.

Infosec-Experten warnen davor, dass FRwL eine vielschichtige Infektionskette verwendet, die mehrere verschiedene Bedrohungswerkzeuge umfasst. Es wurde bestätigt, dass der anfängliche Kompromittierungsvektor das Herunterladen und Ausführen eines bewaffneten Installationsprogramms ist, das sich als „erweiterte IP-Scanner“-Software ausgibt. Die gefälschte Datei wird über spezielle Websites verbreitet, die legitime Webportale imitieren. Mitarbeiter der betroffenen Organisation, die auf die Falle hereinfallen, aktivieren und installieren die Vidar Stealer -Bedrohung auf ihren Computern.

Die Bedrohungsakteure verwenden dann Vidar, um die Telegram-Sitzungsdaten des Opfers zu erhalten und anschließend die Kontrolle über ihre Konten zu übernehmen. Die kompromittierten Konten werden von den Angreifern so genutzt, dass sie VPN-Verbindungsdaten sammeln können. Wenn das VPN nicht über ausreichende 2FA (Zwei-Faktor-Authentifizierung) verfügt, würden die FRwL-Hacker unbefugten Zugriff auf das Unternehmensnetzwerk der Organisation erhalten. Anschließend errichten die Cyberkriminellen ein Cobalt-Strike -Beacon und fahren damit fort, sensible Daten zu exfiltrieren oder zusätzliche Überwachungsaktivitäten durchzuführen.

Die Somnia-Ransomware-Details

Die Somnia Ransomware-Bedrohung kann sich auf eine Vielzahl verschiedener Dateitypen auswirken und sie mit einem kryptografischen Algorithmus verschlüsseln. Jede gesperrte Datei wird an ihren ursprünglichen Namen mit „.somnia“ angehängt. Während die meisten Ransomware-Operationen finanziell motiviert sind, ist dies bei Somnia nicht der Fall. Die Angreifer verwenden ihr Bedrohungstool eher wie einen Datenlöscher, der das Opfer daran hindert, auf seine Daten zuzugreifen. Die Angreifer fordern kein Lösegeld, da dies nicht ihr Hauptziel ist.

Die Forscher des CERT-UA stellen fest, dass sich Somnia offenbar noch in der aktiven Entwicklung befindet. Beispielsweise waren frühere Versionen der Bedrohung mit dem symmetrischen 3DES-Algorithmus ausgestattet und vertrauten darauf. Spätere Iterationen wurden jedoch auf die Ausführung des AES-Algorithmus für die Verschlüsselung der Zieldateitypen umgestellt.